EnHacke
>

Vulnerabilidades peligrosas de software permanecen por meses en las computadoras

malware_2Kaspersky Lab publicó el informe “Evaluating the threat level of software vulnerabilities (Evaluando el nivel de amenaza de las vulnerabilidades de software)”, después de un análisis cuidadoso sobre la prevalencia de fallas de seguridad encontradas en varios programas en 2012. Usando datos de la red de seguridad de Kaspersky Security Network, basada en la nube, los especialistas de Kaspersky Lab revelaron más de 132 millones de vulnerabilidades en más de 11 millones de computadoras. Esto significa un promedio de 12 vulnerabilidades por usuario. Además, surgieron más de 800 vulnerabilidades únicas solo durante 2012.

Sin embargo, entre toda esta diversidad, se encontraron solamente ocho vulnerabilidades en los paquetes exploit más comúnmente usados por ciberdelincuentes: cinco en Oracle Java, dos en Adobe Flash Player y una en Adobe Reader. Aun así, esto es una “herramienta de ladrón” más que suficiente para que delincuentes roben datos privados de computadoras, realicen ciberespionaje en empresas y saboteen sistemas industriales o agencias gubernamentales.

Además de resaltar las vulnerabilidades más peligrosas, la investigación de Kaspersky Lab también evalúa el grado de entusiasmo con que los usuarios actualizan sus software a nuevas versiones cuando estas están disponibles. Este análisis en particular reveló un hecho preocupante: algunas versiones antiguas, incluso obsoletas, de programas populares, siguen presentes en un número significativo de computadoras durante meses, hasta años, representando grandes riesgos para los datos personales de los usuarios y para la infraestructura de las compañías.

Particularmente, la investigación sobre la disposición de los usuarios de pasarse a versiones más nuevas y seguras de su software reveló que seis semanas después del lanzamiento de la última versión de Java (septiembre/octubre 2012), solo el 28,2%de los usuarios había logrado pasarse a la versión más segura, mientras que el 70% había dejado su sistema vulnerable a los exploits de Java. Se encontró una versión obsoleta de Adobe Flash Player, del 2010, que podría ser blanco fácil de exploits, en un promedio del 10,2% de las computadoras, y ese número casi no disminuyó durante 2012. Una vulnerabilidad descubierta en el Adobe Reader en diciembre de 2011 fue encontrada en el 13,5% de las computadoras, también sin señales de disminuir.

Las vulnerabilidades de software representan una amenaza clara y evidente tanto para clientes como para empresas.

 “Lo que revela esta investigación es que lanzar un parche para una falla de seguridad poco después de descubrirla no es suficiente para proteger a usuarios y empresas. Mecanismos de actualización poco eficientes han expuesto a millones de usuarios de Java, Adobe Flash y Adobe Reader a riesgos.  Ello, en conjunto con toda una serie de vulnerabilidades críticas encontradas en Java en 2012 y a comienzos de 2013, enfatiza la necesidad de los más recientes métodos de protección. Las compañías deberían tomar muy en serio este problema, dado que las fallas de seguridad en software populares se han convertido en el principal punto de entrada para ataques dirigidos exitosos”, dijo Vyacheslav Zakorzhevsky, Especialista de Investigación de Vulnerabilidades de Kaspersky Lab.

El informe completo “Evaluating the threat level of software vulnerabilities” (Evaluando el nivel de amenaza en vulnerabilidades de software) está disponible en Securelist.com.

 

El malware Flashback infecta a más de 600.000 Macs en el mundo

Probablemente estemos ante el troyano más grande en torno a Mac que hayamos visto a tenor de las cifras que están comenzando a circular. Aunque Apple emitió un parche de seguridad para Java en el día de ayer, según la compañía de antivirus Dr. Web, más de 600.000 Macs están infectados con el troyano Flashback. Se trataría de un paquete demalware diseñado para robar información personal de los usuarios una vez ha entrado en los equipos.

De los equipos infectados y según la firma de seguridad, más de la mitad (57%) se encontrarían en Estados Unidos (274 con base en Cupertino), un 20% en Canadá y el resto repartido en el mundo como vemos en la imagen con la que abrimos.

Flashback se abría encontrado en septiembre del 2011 y se trata de un troyano que se hace pasar por una actualización del plugin de Adobe Flash Player, una detección que no ha evitado su desarrollo en los últimos meses evolucionando para explotar las vulneraciones de Java y atacando los sistemas.

¿Y cómo se propagó? Desde Apple ya se ha emitido una serie de parches para paliar su infección pero como apuntan en Cnet, su método de propagación resultaba de la visita a webs con el applet Java malintencionado, lo que acabaría en la ejecución arbitraria de código con los privilegios del usuario actual. Una vez instalado, Flashback inyecta código en los navegadores web u otras aplicaciones como Skype para recolectar contraseñas e información personal de los usuarios.

La firma F-Secure informaba de una serie de pasos para saber si tu equipo está o no infectado, además recomendaba que:

Se actualice el cliente Java a la ultima versión, deshabilitarlo cuando no sea necesario, o mejor aún, eliminarlo por completo si realmente no lo necesitas.

El parche que Apple ha ofrecido hace unas horas está disponible en OS X 10.6 y 10.7 desde el administrador de actualizaciones.

Falsa extensión de Chrome ataca a los usuarios de Facebook

El nacimiento de las extensiones se remonta a la necesidad que vieron los navegadores de ofrecer algo nuevo para mejorar la experiencia de los usuarios en la Red. Debido a la popularidad que han adquirido estas herramientas, parece que ahora son el nuevo blanco de los delincuentes informáticos.

Recientemente en la tienda oficial de Google Chrome apareció una extensión maliciosa con la que los delincuentes pueden controlar el perfil de Facebook de los usuarios que la instalan en su equipo. A través de un reporte de Kaspersky Lab se pudo determinar que se trata de una falsa de Adobe Flash Player, que está alojada en los servidores de Google.

De acuerdo con los ejecutivos de Kaspersky, las extensión descarga un script que distribuye spam entre sus amigos de Facebook, hace clic en ‘Me gusta’ en diferentes páginas de la red social e invita a sus contactos a instalar extensiones maliciosas de Chrome en sus navegadores.

Según comentó el ejecutivo de Kaspersky Fabio Assolini, en el blog oficial de la compañía, países como Brasil han registrado en los últimos meses un incremento en las estafas de Facebook que utilizan extensiones maliciosas de Google Chrome. La compañía de antivirus ha venido siguiéndole la pista a la falsa extensión de Adobe, identificada como Trojan.JS.Agent.bxo, desde el 6 de marzo, fecha en la que ya había infectado a 923 usuarios.

“Nosotros informamos a Google de la existencia de esta extensión maliciosa y ellos la eliminaron rápidamente. Sin embargo, hemos notado que los delincuentes detrás de este plan malicioso están cargando nuevas extensiones con frecuencia, como en un juego del gato y el ratón“, dijo Assolini.

El ejecutivo también habló de cómo los delincuentes encontraron la manera de monetizar el negocio del secuestro virtual de las cuentas de Facebook.  Al tener el control total del perfil de los usuarios, estas personas crearon una forma de vender los ‘Me gusta’ en la red social.

Como saben, al igual que con los seguidores de Twitter, las compañías que tienen cuentas en las redes sociales se preocupan por darse a conocer y propagar su marca consiguiendo un número grande de seguidores. Es así como los delincuentes venden, por ejemplo, un paquete de 1000 clics o “Me gusta” en unos 27 dólares.

Nuevo malware se propaga a través de Facebook e infecta a miles de usuarios

Facebook se ha convertido en una fuente inagotable para la propagación de malware. En esta ocasión conocemos un caso que ha afectado a más de 60.000 usuarios. Bajo el reclamo de una noticia sobre el inicio de la Tercera Guerra Mundial, los usuarios son redirigidos a una web donde quedan infectados.

A comienzos de año se señalaba a Facebook como una de las principales plataformas por las que el malware se distribuiría entre los usuarios. Pocas previsiones han acertado tanto, puesto que en menos de dos meses hemos asistido a numerosos intentos de propagación de archivos maliciosos a través de la red social. Sus más de 800 millones de usuarios la convierten en un apetitoso caramelo para los ciberdelincuentes, puesto que cualquier porcentaje, por mínimo que sea, de usuarios que “piquen” sus anzuelos supone miles de usuarios a los que infectar o incluso estafar.

El último caso que hemos conocido utiliza otro gancho morboso para ganarse la confianza de los más incautos. Un falso enlace a la supuesta web del canal estadounidense CNN avisa de un inminente ataque militar de Estados Unidos contra Irán y Arabia Saudí, en lo que supondría el teórico inicio de la Tercera Guerra Mundial. El blog Sophos, de Naked Security, avisa de esta amenaza, puesto que al pulsar en dicho enlace el usuario es redirigido a una web falsa con la apariencia del citado medio de reconocido prestigio mundial.

En dicha web se intenta atraer la atención de las víctimas con supuestos vídeos sobre el citado conflicto. Sin embargo, para poder visualizarlos al pulsarlos se pide a los usuarios que instalen una supuesta actualización de Adobe Flash Player, momento en el que se descarga e instala el archivo malicioso, detectado como “Troj / Rootkit-JV”. Al tratarse de un rootkit, entraña los riesgos de este tipo de malware, convirtiendo el ordenador infectado en una fuente para que los intrusos puedan extraer de él todo tipo de información sin el permiso del usuario o ejecutar acciones de forma remota.

El ritmo de propagación del malware ha sido muy alto, ya que según alerta la empresa de seguridad, más de 60.000 usuarios han sido engañados en apenas tres horas. Sophos ha señalado que el código malicioso instalado en los ordenadores de los usuarios está enviando el mensaje a Facebook sin que los usuarios lo sepan, de modo que sus contactos son víctimas potenciales de este archivo.

Más de un millón de sitios afectados por un ataque

Lilupophilupop es el nombre de la nueva amenaza que ya afectaría a más de un millón de páginas web. Este ataque se produce al introducir una línea de código dentro del sitio con la instrucción de redireccionar a la víctima a un sitio donde se le insta a descargar una versión falsa de Adobe Flash Player o incluso antivirus aparentemente legítimos. En realidad estos programas contienen malware que de instalarse afectaría al sistema del usuario.

En el último mes este ataque de inyección de código SQL ha experimentado un crecimiento más que notable. De 80 sitios infectados se ha pasado a más de un millón en solo un mes, aunque el método de contabilizarlo no es del todo fiable, ya que no se separa los sitios infectados de las webs en las que solo se hable del ataque. A través del código SQL se introduce el script Lilupophilupop dentro del código de JavaScript de las páginas web. Este script es el que envía al usuario a las páginas vulneradas y le insta a realizar la descarga de los falsos programas.

Los investigadores temen que este ataque esté automatizado o al menos parcialmente automatizado, lo que podría provocar que el número de sitios afectados aumentara considerablemente en los próximos meses. Los sitios más afectados son aquellos propios de Holanda (con el dominio .nl), aunque también se han detectado dominios de otros países y algunos sitios .org y .com.

Para saber que sitios pueden estar sufriendo este ataque, y para saber si tu propio sitio es uno de los atacados, basta con buscar en Google un parametro como vemos en la imagen de abajo. En caso de aparecer en los resultados de búsqueda el sitio tendrá todos los papeles para ser uno de los afectados. Aunque el ataque ya ha adquirido proporciones alarmantes, algunos analistas han instado a mantener la calma hasta que se realice una investigación más en profundo sobre su alcance real.